山 云

德宏人民廣播電臺(tái)，云南德宏 678400

0 引言

德宏人民廣播電臺(tái)自2002 年開(kāi)始使用數(shù)字音頻工作站以來(lái)，為了保證播出網(wǎng)的安全，制播網(wǎng)單獨(dú)形成封閉隔離的局域網(wǎng)，在早期的使用過(guò)程中，因?yàn)槭褂每◣?、CD 機(jī)、DVD 機(jī)較多，我們嚴(yán)格限制錄編播計(jì)算機(jī)USB 接口的使用，所有的節(jié)目都是進(jìn)行1：1 的錄制后發(fā)送至制播網(wǎng)服務(wù)器，但是隨著計(jì)算機(jī)和互聯(lián)網(wǎng)日新月異的發(fā)展，大量的文件都是通過(guò)互聯(lián)網(wǎng)來(lái)獲取，而且文件需求量越來(lái)越多，以往1：1 的灌錄模式雖然保證了制播網(wǎng)的安全，但是效率低下，制作人員的工作量相當(dāng)繁重，同時(shí)使得本來(lái)有限的錄音室長(zhǎng)時(shí)間用來(lái)灌錄節(jié)目，影響了正常的節(jié)目錄制，也嚴(yán)重影響了節(jié)目質(zhì)量的提高。2012 年9 月我臺(tái)在升級(jí)了音頻工作站系統(tǒng)之后，為了減輕錄制人員的工作量，提高工作效率，建設(shè)內(nèi)外網(wǎng)安全交換系統(tǒng)勢(shì)在必行。

1 德宏人民廣播電臺(tái)內(nèi)外網(wǎng)數(shù)據(jù)交換平臺(tái)建設(shè)介紹

因?yàn)?012 年音頻工作站升級(jí)，我們選用了杭州聯(lián)匯最新的Prolink 播出系統(tǒng)，所以為了形成配套的系統(tǒng)，內(nèi)外網(wǎng)數(shù)據(jù)安全交換系統(tǒng)我們依舊選用了杭州聯(lián)匯的DatabridgeII 系統(tǒng)。

數(shù)據(jù)橋分三部分組成：

1）數(shù)據(jù)橋內(nèi)網(wǎng)服務(wù)：此端位于內(nèi)網(wǎng)和制播網(wǎng)連接。為節(jié)省資金，我臺(tái)將音頻工作站升級(jí)時(shí)換下的音頻資料服務(wù)器dell 1950 作為數(shù)據(jù)橋內(nèi)網(wǎng)服務(wù)器端，運(yùn)行后臺(tái)服務(wù)，負(fù)責(zé)生成內(nèi)網(wǎng)的數(shù)據(jù)庫(kù)同步信息（.sdf 格式文件），同時(shí)處理將外網(wǎng)的文件發(fā)送和下載請(qǐng)求（.xml 格式），并將相應(yīng)請(qǐng)求下載的音頻文件傳送至共享目錄，等待數(shù)據(jù)交換單元處理；

2）內(nèi)外網(wǎng)交互管理平臺(tái)：此端位于辦公網(wǎng)，作為單獨(dú)的管理平臺(tái)，安裝內(nèi)外網(wǎng)交換管理平臺(tái)軟件，sqlserver 數(shù)據(jù)庫(kù)與內(nèi)網(wǎng)實(shí)時(shí)同步。用戶登錄管理平臺(tái)WEB 頁(yè)面，進(jìn)行文件的上傳下載及節(jié)目、欄目查詢等。另外運(yùn)行后臺(tái)服務(wù)，處理接收到的內(nèi)網(wǎng)數(shù)據(jù)庫(kù)同步信息（.sdf 格式文件），使內(nèi)外網(wǎng)數(shù)據(jù)庫(kù)保持一致，同時(shí)生成外網(wǎng)上傳下載請(qǐng)求信息（.xml 格式）文件；

3）數(shù)據(jù)交換單元：一端連接外網(wǎng)，一端連接內(nèi)網(wǎng)，在定量時(shí)間間隔內(nèi)掃描內(nèi)外網(wǎng)服務(wù)器共享目錄，并對(duì)新發(fā)現(xiàn)的文件進(jìn)行設(shè)定處理：a、將外網(wǎng)文件下載上傳請(qǐng)求等信息文件（.xml格式）擺渡至內(nèi)網(wǎng)相應(yīng)共享目錄，然后由內(nèi)網(wǎng)后臺(tái)服務(wù)進(jìn)行處理；b、將內(nèi)網(wǎng)響應(yīng)的信息文件（.xml 格式）擺渡至外網(wǎng)相應(yīng)共享目錄，然后由外網(wǎng)后臺(tái)服務(wù)進(jìn)行處理；c、將內(nèi)網(wǎng)的數(shù)據(jù)庫(kù)同步信息文件（.sdf 格式）擺渡至外網(wǎng)，由外網(wǎng)后臺(tái)服務(wù)處理；d、將外網(wǎng)上傳的音頻文件擺渡至內(nèi)網(wǎng)，外網(wǎng)下載的文件由內(nèi)網(wǎng)擺渡至外網(wǎng)。

在安全措施方面，內(nèi)外網(wǎng)服務(wù)器后臺(tái)服務(wù)根據(jù)請(qǐng)求，生成特定格式的文件，如上傳下載請(qǐng)求文件為.xml 文件，數(shù)據(jù)庫(kù)信息文件為.sdf 文件，音頻文件為重新編碼的.bwf 波形文件，數(shù)據(jù)交換單元?jiǎng)t只處理指定格式內(nèi)容的文件并單向擺渡。同時(shí)數(shù)據(jù)交換單元的外網(wǎng)單元有殺毒單元及文件是否被修改監(jiān)測(cè)等單元，分別對(duì)文件進(jìn)行安全處理，更進(jìn)一步地保證數(shù)據(jù)的安全性。

2 Databridge 系統(tǒng)工作原理介紹

Databridge 系統(tǒng)是一款針對(duì)廣播電臺(tái)使用特點(diǎn)而開(kāi)發(fā)的產(chǎn)品，針對(duì)性強(qiáng)、安全可靠性高。數(shù)據(jù)橋一端連接內(nèi)網(wǎng)一端連接外網(wǎng)，是內(nèi)外網(wǎng)數(shù)據(jù)傳遞員，通過(guò)內(nèi)置控制軟件實(shí)現(xiàn)數(shù)據(jù)交換，數(shù)據(jù)橋由于不依賴于TCP/IP 等網(wǎng)絡(luò)協(xié)議和操作系統(tǒng)，也就安全隔離了內(nèi)網(wǎng)和外網(wǎng)之間的連結(jié)，當(dāng)有數(shù)據(jù)交換請(qǐng)求時(shí)才進(jìn)行數(shù)據(jù)在內(nèi)外網(wǎng)的搬運(yùn)工作，在數(shù)據(jù)搬運(yùn)過(guò)程中，數(shù)據(jù)橋?qū)⑹紫葘?duì)所搬運(yùn)的數(shù)據(jù)的合法性、結(jié)構(gòu)等進(jìn)行甄別，保證被搬運(yùn)的數(shù)據(jù)是被允許的，而且沒(méi)有被病毒感染。

2.1 工作流程

數(shù)據(jù)橋的基本工作流程如下：

1）位于外網(wǎng)應(yīng)用服務(wù)器上的請(qǐng)求端，結(jié)合具體應(yīng)用提取用戶的請(qǐng)求（包括要求調(diào)用數(shù)據(jù)和發(fā)送數(shù)據(jù)），并且將其按照時(shí)間順序排列形成請(qǐng)求隊(duì)列，等待數(shù)據(jù)橋進(jìn)行處理；

2）數(shù)據(jù)橋從請(qǐng)求端調(diào)用請(qǐng)求隊(duì)列，將請(qǐng)求隊(duì)列傳遞到內(nèi)網(wǎng)中，要求發(fā)送數(shù)據(jù)或者請(qǐng)求接收數(shù)據(jù)；

3）內(nèi)網(wǎng)的應(yīng)用服務(wù)器接收請(qǐng)求隊(duì)列，并且開(kāi)始在內(nèi)網(wǎng)中讀取需要傳送的數(shù)據(jù)或者接收傳遞過(guò)來(lái)的數(shù)據(jù)；

4）讀取請(qǐng)求隊(duì)列完成后數(shù)據(jù)橋開(kāi)始傳送數(shù)據(jù)，將數(shù)據(jù)傳至送需要接收的應(yīng)用服務(wù)器上；

5）自動(dòng)將設(shè)定好的需要傳輸?shù)奈募鬏數(shù)街付ㄎ恢茫⑶铱梢愿鶕?jù)需要填寫(xiě)相應(yīng)的數(shù)據(jù)庫(kù)。

2.2 防毒手段

Databridge 采用基于內(nèi)容的檢測(cè)方式，只允許限定的幾種文件格式可以進(jìn)行傳輸，目前可支持：s48、mp3、wave、LH txt（聯(lián)匯獨(dú)有格式化文本文檔），除此以外的所有格式全部被擋在Data bridge 外面。在保證音質(zhì)的前提下，重新打散和重新編碼需要傳的音頻文件，肢解和粉碎病毒的數(shù)據(jù)結(jié)構(gòu)，徹底消除病毒隱患。在傳輸過(guò)程中，對(duì)文件進(jìn)行嚴(yán)格的格式校驗(yàn)，包括重編碼標(biāo)志校驗(yàn)及幀結(jié)構(gòu)校驗(yàn)，保證傳輸?shù)奈募踩_。

基于內(nèi)容檢測(cè)方式的特點(diǎn)：

1）音頻數(shù)據(jù)幀格式判斷；

2）逐幀校驗(yàn)；

3）自動(dòng)格式重編碼；

4）音頻文件自校驗(yàn)功能。

2.3 DataBirdge 應(yīng)用體系結(jié)構(gòu)

DataBirdge 系統(tǒng)采用協(xié)議終止、內(nèi)容檢查、訪問(wèn)控制、日志審計(jì)、身份認(rèn)證等安全技術(shù)，實(shí)現(xiàn)內(nèi)外處理單元之間應(yīng)用數(shù)據(jù)的安全擺渡，外網(wǎng)部分還可以內(nèi)嵌病毒查殺功能，額外保護(hù)外網(wǎng)內(nèi)容安全。

內(nèi)網(wǎng)處理單元的數(shù)據(jù)接收代理接收來(lái)自內(nèi)部網(wǎng)絡(luò)應(yīng)用客戶端的數(shù)據(jù)包，經(jīng)過(guò)應(yīng)用層協(xié)議解析還原為應(yīng)用數(shù)據(jù)，進(jìn)行內(nèi)容檢查后通過(guò)數(shù)據(jù)擺渡引擎擺渡到專用隔離硬件。外網(wǎng)處理單元接收到隔離硬件擺渡過(guò)來(lái)的應(yīng)用數(shù)據(jù)后，對(duì)其進(jìn)行病毒查殺并重新封裝應(yīng)用層協(xié)議，最后通過(guò)外網(wǎng)處理單元的數(shù)據(jù)發(fā)送代理將數(shù)據(jù)包發(fā)送到外部網(wǎng)絡(luò)。

外網(wǎng)的數(shù)據(jù)要進(jìn)入內(nèi)網(wǎng)，也是由內(nèi)網(wǎng)管理程序配置，數(shù)據(jù)橋?qū)?yīng)用配置由內(nèi)到外進(jìn)行配置，配置完成后，外網(wǎng)才具有向內(nèi)網(wǎng)提交數(shù)據(jù)傳遞要求的功能，無(wú)法在外網(wǎng)配置任何的安全應(yīng)用，保證了系統(tǒng)的安全，而外網(wǎng)發(fā)起數(shù)據(jù)傳遞要求是必須通過(guò)安全保障能力及策略工作后才可進(jìn)行和傳送。

3 結(jié)論

德宏人民廣播電臺(tái)自2012 年9 月開(kāi)始使用Databridge 內(nèi)外網(wǎng)數(shù)據(jù)安全交換平臺(tái)以來(lái)，極大地提高了制作人員的工作效率，特別是記者在辦公室或是在家中就可以將采訪資料發(fā)送至內(nèi)網(wǎng)服務(wù)器，錄制人員便可在第一時(shí)間及時(shí)地調(diào)用采訪素材，簡(jiǎn)化了工作流程，同時(shí)也大大提高了錄音室的使用效率。

但到目前為止也存在一個(gè)隱患，就是當(dāng)時(shí)建設(shè)該系統(tǒng)時(shí)，處于資金的考慮，我們沒(méi)有設(shè)計(jì)備份單元，所以在數(shù)據(jù)橋安全交換單元出現(xiàn)故障的情況下，整個(gè)安全交換系統(tǒng)就無(wú)法使用，2013 年2 月份安全交換單元出現(xiàn)了故障，花費(fèi)了近半個(gè)多月的修理時(shí)間，后查明原因是因?yàn)殚L(zhǎng)途運(yùn)輸，芯片散熱器脫落，使得數(shù)據(jù)橋安全交換單元芯片過(guò)熱而出現(xiàn)宕機(jī)，所以為了系統(tǒng)的不間斷正常服務(wù)，還需做一備份。

[1]DataBridgeII系統(tǒng)介紹.杭州聯(lián)匯數(shù)字科技有限公司，2007，3.

[2]陶利國(guó).安全數(shù)據(jù)交換技術(shù)在音頻制播網(wǎng)的應(yīng)用.沙洲職業(yè)工學(xué)院學(xué)報(bào)，2010.